No final de março, foi realizada em Heidelberg (Alemanha) a conferência temática de segurança Troopers 2019. Entre outros relatos, houve um relatório do especialista Christopher Bleckmann-Dreher, no qual relatou a flagrante irresponsabilidade de um dos fabricantes locais de smartwatches. com rastreamento de coordenadas no sistema GPS.
Essa história começou no final de 2017, depois que a agência federal de segurança proibiu e exigiu que os proprietários destruíssem relógios com possibilidade de escuta telefônica unidirecional remota. Tais dispositivos poderiam ser usados para espionagem secreta e são proibidos na Alemanha. Nessa onda, Dreher estudou o modelo de relógio Paladin da empresa austríaca Vidimensio. No processo, descobriu-se que as APIs nos servidores Vidimensio são vulneráveis à interceptação de dados, incluindo o rastreamento das coordenadas do proprietário, e permitem hackeamento remoto usando comandos simples.
Os relógios Vidimensio são bastante populares na Alemanha e na Áustria. A fabricante foi notificada sobre a vulnerabilidade, mas, como se viu, apenas fechou a possibilidade de escuta telefônica remota. Apesar dos repetidos pedidos de um especialista da Vidimensio e até de contactos com autoridades federais, nada aconteceu.
Finalmente, Dreher decidiu por uma ação atípica. Utilizando uma das vulnerabilidades que descobriu, o investigador enviou as coordenadas de que necessitava para mais de 300 relógios Vidimensio. Curiosamente, estes relógios foram considerados destruídos, conforme exigido pela agência de segurança federal. Mas isso não impediu que o relógio “destruído” aparecesse no mapa para rastrear as coordenadas e formar a palavra “PWNED!” (Hacked!) é uma declaração típica de saudação de hackers após um hack bem-sucedido.
O especialista espera que tal diligência desperte o interesse pelo problema e ajude a proteger proprietários desavisados do perigo de vazamento de dados pessoais. A propósito, cerca de 20 modelos de relógios Vidimensio são afetados pela vulnerabilidade descoberta, cuja lista você pode ver acima, mas esses dispositivos são frequentemente adquiridos para crianças e pais idosos que geralmente têm pouco conhecimento de segurança.
Fonte: 3dnews.ru